Criação de uma política de acesso secreto e um perfil - Amazon Relational Database Service

Criação de uma política de acesso secreto e um perfil

Siga os procedimentos abaixo para criar sua política de acesso secreto e seu perfil que permitem que o DMS acesse as credenciais do usuário para os bancos de dados de origem e destino.

Como criar a política de acesso secreto e o perfil, que permite que o Amazon RDS acesse o AWS Secrets Manager para acessar o segredo apropriado

  1. Faça login no AWS Management Console e abra o console do AWS Identity and Access Management (IAM) em https://console.aws.amazon.com/iam/.

  2. Escolha Políticas e Criar política.

  3. Escolha JSON e insira a política a seguir para ativar o acesso e a descriptografia do segredo.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": secret_arn,
        },
        {
             "Effect": "Allow",
             "Action": [
                        "kms:Decrypt",
                        "kms:DescribeKey"
                      ],
             "Resource": kms_key_arn,
        }
     ]
}

    Aqui, secret_arn é o ARN do segredo, que é possível obter de SecretsManagerSecretId conforme apropriado, e kms_key_arn é o ARN da chave do AWS KMS que você está utilizando para criptografar o segredo, como no exemplo a seguir.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH"
        },
        {
             "Effect": "Allow",
             "Action": [
                        "kms:Decrypt",
                        "kms:DescribeKey"
                      ],
             "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd"
        }
     ]
}
    nota

    Se você utilizar a chave de criptografia padrão criada pelo AWS Secrets Manager, não precisará especificar as permissões do AWS KMS para kms_key_arn.

    Se quiser que a política forneça acesso aos dois segredos, basta especificar um objeto de recurso JSON adicional para o outro secret_arn.

  4. Revise e crie a política com um nome amigável e uma descrição opcional.

  5. Escolha Funções e Criar função.

  6. Escolha Serviço da AWS como o tipo de entidade confiável.

  7. Escolha DMS na lista de serviços como o serviço confiável e escolha Próximo: Permissões.

  8. Pesquise e anexe a política que criada na etapa 4 e continue para adicionar quaisquer tags e revisar o perfil. Nesse ponto, edite as relações de confiança do perfil para utilizar a entidade principal do serviço Amazon RDS regional como a entidade confiável. Essa entidade principal tem o seguinte formato.

    dms.region-name.amazonaws.com

    Aqui, region-name é nome da sua região, como us-east-1. Desse modo, segue uma entidade principal do serviço Amazon RDS regional para essa região.

    dms.us-east-1.amazonaws.com
dms-data-migrations.amazonaws.com